VPN Problem nach Uprade von 1781 auf 1803

[snooppycount]

Hallo zusammen

Ich habe einem 1803VAW per Import (Skript) von einem 1781VAW konfiguriert.
Es gibt einige VPN-Verbidungen (IKEv1 und IKEv2), alle können auch wie gehabt augebaut werden und sind funktional.

Eine VPN IKEv2 Verbindung "VPN-AGS" wird zwar aufgebaut und steht, aber es können keine Daten übertragen werden.

Lokales Netz 192.168.10.x (Router .222). Entferntes Netz 192.168.11.x (Router 1926VAG, .220):

# IP-Address IP-Netmask Rtg-tag Admin-Distance Peer-or-IP Distance Masquerade Active Comment
# ===========================================================
add 192.168.4.0 255.255.255.0 0 0 {Peer-or-IP} "VPN-VDSL" {Distance} 0 {Masquerade} No {Active} Yes
add 192.168.11.0 255.255.255.0 0 0 {Peer-or-IP} "VPN-AGS" {Distance} 0 {Masquerade} Yes {Active} Yes
add 192.168.102.0 255.255.255.0 0 0 {Peer-or-IP} "VPN-GS" {Distance} 0 {Masquerade} No {Active} Yes


#ping 192.168.10.220 zeigt im Trace:
[ICMP] 2025/09/03 13:05:28,364 Devicetime: 2025/09/03 13:05:28,061 [INTRANET (22)]
Sending ICMP: Destination unreachable (3), network unreachable (0) packet, scope global, routing tag 0:
IPv4: 192.168.10.222 -> 192.168.10.23, Total-Len: 56
ICMP: Destination unreachable (3), network unreachable (0)
IPv4: 192.168.10.23 -> 192.168.11.220, Total-Len: 60
ICMP: Echo (ping) request (8), ID: 1, Seq: 14529


#tracert 192.168.11.220
Routenverfolgung zu router.hgt.lokal [192.168.11.220]
über maximal 30 Hops:
1 <1 ms <1 ms <1 ms router.xxxxx.lokal [192.168.10.222]
2 router.xxxxx.lokal [192.168.10.222] meldet: Zielnetz nicht erreichbar.


Testweise {Masquerade} Yes -> No, ändert nichts.

Ist der Router auf Gegenseite evtl. auch anzupassen?
Der 1781VAW hatte die Option" VPN 25" installiert, das sollte aber keinen Unterschied machen, oder?

Was muss ich ggfs. nachkonfiguriren, bzw. was habe ich übersehen?

Danke im Voraus
Jürgen

[Dr.Einstein]

Wenn der Softwaresprung zu hoch war, so hat ggf. die alte Konfiguration VPN-Firewall-Regeln, und die Neue unterstützt dies nicht mehr. Kannst du in deinem alten Script prüfen, ob du Firewallregeln hast, wo das VPN-Rule auf Yes steht?

[GrandDixence]

Code: Alles auswählen

Routenverfolgung zu router.hgt.lokal [192.168.11.220]
über maximal 30 Hops:
1 <1 ms <1 ms <1 ms router.xxxxx.lokal [192.168.10.222]
2 router.xxxxx.lokal [192.168.10.222] meldet: Zielnetz nicht erreichbar.

In der Routingtabelle vom Router 192.168.10.222 fehlt ein Eintrag für 192.168.11.220.
LCOS-Menübaum > Setup > IP-Router > IP-Routing-Tabelle

Die Begründung, weshalb von Hand ein Eintrag in der Routingtabelle erstellt werden muss, hat bereits Dr. Einstein geliefert.

VPN-Konfiguration mit der entsprechenden Anleitung abgleichen:
fragen-zum-thema-vpn-f14/vpn-via-androi ... tml#p97795

[snooppycount]

Hallo zusammen

add 192.168.11.0 255.255.255.0 0 0 {Peer-or-IP} "VPN-AGS" {Distance} 0 {Masquerade} Yes {Active} Yes

Ist das nicht die zugehörige Route, fürs Netz192.168.11.0, in der Routingtabelle vom Router 192.168.10.222?
Der Router ist doch die VPN Gegenstelle, oder?


LG
Jürgen

[backslash]

Hi snooppycount,

ist der VPN-Tunnel zu VPN-AGS denn aufgebaut?
was sagt ein "show ipv4-fib"
was sagt ein ip-router Trace wenn du pingst - ggf gefiltert auf die angepingte Adresse, also "trace # ip-router @ 192.168.11.220"

Gruß
Backslash

[snooppycount]

Hallo Backslash

Ja der Tunnel steht:
"show ipv4-fib" auf 192.168.10.222, u. a.:
192.168.11.0/24 0.0.0.0 VPN-AGS 13 on Redistribute Static (5)

trace ip-router auf 192.168.10.222:
trace + IP-Router @ 192.168.11.220

[IP-Router] 2025/09/05 09:41:47,986 Devicetime: 2025/09/05 09:41:47,340
IP-Router Rx (LAN-1, INTRANET, RtgTag: 0):
DstIP: 192.168.11.220, SrcIP: 192.168.10.23, Len: 60, DSCP: CS0/BE (0x00), ECT: 0, CE: 0
Prot.: ICMP (1), echo request, id: 0x0001, seq: 0x4c92
Route: WAN Tx (VPN-AGS)
no masquerading address available => discard frame

Danke und Gruß
Jürgen

[snooppycount]

Hallo zusammen

Das Problem ist nun gelöst.
Es fehlte ein Eintrag in der Liste der IP-Parameter für die VPN Gegenstelle .

Gruß
Jürgen